Probleme bei IPSEC VPN Verbindung



  • Hallo,

    ich habe ein kleines Problem wo sicher mal wieder nur ein X fehlt  ;)
    Und zwar habe ich mehrere IPSec Verbindungen zu meiner PFSense hergestellt welche in verschiedenen Städten über Routern zur PFSense auflaufen.
    Ich komme von den PCs in den Routern Netzwerken auch überall auf den Servern im PFSense Netzwerk welche freigegeben sind.
    Nur komme ich aus dem Hauptnetz hinter der PFSense nicht auf z.B. die Drucker aus den Router Netzwerken. Ich kann zwar alle pingen aber es wird keine http Verbindung über den Browser zum Drucker Management aufgebaut.

    Woran kann das liegen muss ich in der PFSense noch irgendwas routen oder freigeben das ich auf die entfernten Drucker drauf komme?

    Danke!  :)



  • Du musst in der entfernten pfSense auch Regeln für Traffic auf IPsec erstellen, sonst wird der geblockt.
    Das war IMHO noch nicht immer so.



  • Haben die Netzwerkdrucker womöglich keinen/einen falschen Gateway eingetragen?



  • Hallo,

    erstmal danke für die Hilfe  :)

    Die Drucker an sich haben als Gateway und DNS die interne IP des Routers eingetragen. Der Router selbst ist keine PFSense das sind so komplett Geräte mit WLan usw. von DrayTek. Habe dort gerade mal unter IPSec geschaut unter "4. TCP/IP Netzwerk-Einstellungen" Remote Gateway-IP habe ich die interne IP der Monowall eingetragen also eine 192.1.1.1, Remote Netzwerk-IP hat dann 192.1.1.0 und bei meiner WAN IP steht nichts drin. Ich komme jetzt auch nur auf den entfernten Router drauf da er eine feste öffentliche IP hat und für mich fürs WAN freigegeben ist über die interne IPSec IP würde es nicht gehen. Das komische ist nur ich meine es ging mal eine Zeit lang  ???



  • @Zionath:

    … von DrayTek. Habe dort gerade mal unter IPSec geschaut unter "4. TCP/IP Netzwerk-Einstellungen" Remote Gateway-IP habe ich die interne IP der Monowall eingetragen also eine 192.1.1.1, Remote Netzwerk-IP hat dann 192.1.1.0 und bei meiner WAN IP steht nichts drin.

    Warum die interne IP der m0n0 (ist ja eigentlich nicht das m0n0wallforum, aber ich will mal nicht so sein)? Remote Gateway-IP sollte doch die öffentliche sein? Kenne die Drayteks jetzt nicht so. Bei der Remote Netzwerk-IP gehört aber auch noch eine Subnetmaske dazu, oder?  Hat der Draytek evtl auch noch irgendwelche Firewallrules wo man Traffic für den Tunnel freischalten muß?



  • Hallo hoba,

    sorry meinte die pf sense hatte damals ziemlich lange die mono im einsatz bis ich die pf entdeckt hatte, von features, funktionen und support finde ich die pf sense klar überlegen.  ;)
    Hatte jetzt mal ziemlich lange an einen Draytek herum probiert habe festgestellt das die remote gateway ip wohl egal ist und die eigene wan ip auch. Habe dadurch auch einen Bug bei den Geräten festgestellt wenn man zu lange was umstellt muss man das Gerät komplett reseten sonst stellt er irgendwann keine VPN Verbindung mehr her obwohl wieder alles rückgängig gemacht wurde.  ;D

    Muss irgendwo ein Punkt in der PF Sense sein, ich habe auch einige Static Routes dort klappt es Eindwandfrei auf das entfernte Netz z.B. auf Drucker zuzugreifen.

    zum IPSec Netz:
    Ich komme auch mit Remoteadmin Software auf entfernte PCs über die IPSec Verbindung und anpingen kann ich die Drucker auch. Kann es sein das es irgendwie an Port 80 und mit dem Proxy zu tun hat? Habe auch mal die IP bei Allowed Subnets im Lightsquid hinzugefügt aber das ist ja eigentlich nur dafür das die Person aus dem anderen Netz ins Internet kommt. NAT steht auf automatisch IPSEC passthrough.



  • Den Proxy hast Du uns vorenthalten  ;) Ist das ein transparenter Squid auf der pfSense? Wenn ja mach mal folgendes:

    system>static routes:

    Route hinzufügen:
    <remote office="" subnet="" hinter="" tunnel="">, Gateway <lokale lan-ip="" der="" pfsense="">Ich sehe schon das Fragezeichen über Deinem Kopf  ;D

    Also, Services, die auf der pfSense selbst laufen (der Squid) können den Tunnel nicht benutzen. In den Tunnel hinein kann nur, was vom LAN subnet kommt. Durch den Trick der statischen Route sorgst Du dafür, daß der Traffic über das LAN-Interface gererouted wird und schon geht's durch den Tunnel. Funktioniert auch für andere Services auf der pfSense. z.B. könntest Du jetzt auch den DNS-Forwarder so konfigurieren, daß der durch den Tunnel die Domäne am Hauptstandort auflösen kann, remote Syslogs über den Tunnel zum Hauptstandort senden usw usw.</lokale></remote>



  • cool danke dir das funktioniert super  :)

    gibt es eigentlich eine möglichkeit wenn ich richtige Static Routes habe dort DHCP IP Adressen zu verteilen ohne vor Ort einen aufzustellen. Sprich das die PFSense am Hauptstandort auch die Filialen mit IP Adressen versorgt, wobei dort aber wieder ein anderer IP Keis wäre  ???



  • Mit dem pfSense eigenen DHCP-Server geht das glaube ich nicht (der kann nur ein Subnet pro Interface verwalten). Ansonsten könntest Du DHCP-Relay nutzen, muß aber zugestehen, daß ich damit selbst noch nicht rumgespielt habe (Services>dhcp relay).



  • versuch wäre es wert :)



  • danke werde ich mal probieren  :)

    Teste gerade eine neue Terminal Software welche den Webbrowser und Java nutzt, bekomme bei den Maschinen welche über Static Rotes verbunden sind immer die Meldung:

    Cannot connect to the server test.firma.intern:5307
    The HTTP proxy pfsense.firma.intern:3128 failed to connect to the server test.firma.intern:5307.

    The following response was returned:

    HTTP/1.0 403 Forbidden

    muss ich da noch was in der Firewall freigeben? Oder wo finde ich da einen Punkt zu, danke  :)



  • du gehst da über einen proxy raus (3128-squid), entweder proxy ausstellen o. die entsprechenden ip in den browsereinstellungen excluden…..



  • ausstellen habe ich versucht geht nicht wahrscheinlich weil der proxy Transparent ist und er so doer so verwendet wird.
    proxy für lokale Adresse umgehen habe ich angewählt. In Proxy habe ich noch das Feld

    "Do NOT proxy Private Address Space (RFC 1918)"
    "Do not forward traffic to Private Address Space (RFC 1918) to the proxy server."

    soll ich das mal anschalten?



  • ja transparent, ist dann schwierig im client ;) RFC1918 Haken kannst Du probieren



  • habe jetzt die passende Einstellung im IE gefunden man muss die IP noch zusätzlich in der Liste erweitert eintragen. Dann kommt kurz eine Warnung wegen unsicheren Intranet aber die kann man weg schalten, dann funktioniert es  :D



  • schön :)


Locked